CONTENIDO

1.- Objeto de las Medidas de Seguridad.

2.- Ámbito de aplicación.

3.- Recursos protegidos.

4.- Funciones y obligaciones del personal.

5.- Normas y procedimientos de seguridad.

5.1. Centros de tratamientos y locales.

5.2. Puestos de trabajo.

5.3. Entorno del sistema operativo y de comunicaciones.

5.4. Sistema informático o aplicaciones de acceso al fichero.

5.5. Salvaguarda y protección de las contraseñas personales.

6.- Gestión de incidencias.

7.- Gestión de soportes.

8.- Entrada y salida de datos por red y telecomunicaciones.

9.- Procedimientos de respaldo y recuperación.

10.- Controles periódicos de verificación del cumplimiento.

11. Confidencialidad de la información.

12. Delegado Protección de Datos.

13. Evaluación de Riesgos / Evaluación de Impacto.

MEDIDAS DE SEGURIDAD

M. CASTELLÓ JOVER, S.L., sita en Cr. de Pego Km 6,8 de la localidad de Muro de Alcoy (Alicante), y siguiendo las normas establecidas en el REPD 2016/679 de 27 de Abril de 2016, establece las siguientes medidas de seguridad para los ficheros automatizados que contengan datos de carácter personal.

  1. OBJETO DEL DOCUMENTO

El presente documento responde al establecimiento de las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y normas relativas a la libre circulación de dichos datos según el art. 1 del REPD de 27 de Abril de 2016.

El objeto principal que vamos a seguir en M. CASTELLÓ JOVER, S.L., para la protección de datos de nuestros ficheros informáticos, tendrá mucho que ver con garantizar y proteger las libertades públicas y derechos fundamentales de las personas físicas y, en especial, de su honor e intimidad personal y familiar.

2. ÁMBITO DE APLICACIÓN

Este documento ha sido elaborado bajo la responsabilidad del Gerente de M. CASTELLÓ JOVER, S.L., denominación actual de nuestra empresa, Ignacio Guillem Vicent, quien, como responsable del fichero, se compromete a implantar y actualizar esta “Normativa de Seguridad” de obligado cumplimiento para todo el personal con acceso a datos protegidos o a los sistemas de información que permiten el acceso a los mismos.

Los ficheros englobados en este manual de seguridad son:

-) Clientes / Proveedores

-) Nóminas / Recursos Humanos

-) Internet

-) Selección de personal.

Todas las personas que tengan acceso a los datos del fichero, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio automatizado de acceso al fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento, con la parte que le afecte, ha sido entregada a cada persona autorizada a acceder a los datos del fichero, habiendo firmado la recepción del mismo.

3. RECURSOS PROTEGIDOS

La protección de los datos del fichero frente a accesos no autorizados se realiza mediante el control de todas las vías por las que se pueda tener acceso a dicha información.

Los recursos que, por servir de medio directo o indirecto, para acceder al fichero, controlamos en M. CASTELLÓ JOVER, S.L. son:

a) Los centros de tratamiento y locales donde se encuentran ubicados los ficheros o se almacenen los soportes que los contengan; se describirán en el punto 5.1.

b) Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al fichero. Estos puestos los describiremos en el punto 5.2.

c) Los servidores y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el fichero. Lo vamos a describir, más adelante, en el punto 5.3.

d) Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos. Esto estará descrito en el punto 5.4.

4. FUNCIONES Y OBLIGACIONES DEL PERSONAL

El personal vendrá obligado a “observar secreto” y a no revelar, aún después de haber dejado el puesto de trabajo, los datos que hubieran tenido conocimiento al desempeñar su trabajo.

De la misma manera, sólo se comunicarán los datos a una tercera persona para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con consentimiento del interesado. Al mismo tiempo, disponemos de los siguientes modelos para asegurar la protección de los datos susceptibles de transmisión:

a) Ejercicio del derecho de acceso. (Petición de información sobre los datos personales incluidos en un fichero.)

b) Ejercicio de los derechos de rectificación. (Petición de corrección de datos personales inexactos o incorrectos objeto de tratamiento, incluidos en un fichero.)

c) Derecho de supresión (el derecho al “olvido).

d) Derecho a la limitación del tratamiento (Petición de limitación de los Datos).

e) Derecho a la portabilidad de los datos (Petición de recepción de Datos).

f) Derecho Oposición.

Todos estos modelos vienen a continuación detallados y están a disposición de todas las personas afectadas.

A. EJERCICIO DEL DERECHO DE ACCESO

1. DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre:……………………………………………………………………………………………………………….

Dirección de la Oficina de Acceso: C/ ……………………………………………………………………………

nº…….. C.P…………. Localidad ……………………… Provincia ……………………………………………..

2. DATOS DEL SOLICITANTE:

D./ Dª ……………………………………………………………………., mayor de edad, con domicilio en la

C/ …………………………………. n° …….., Localidad ………………………………………………………..

Provincia ………………………………….. C.P. ………….con D.N.I ……………………………….., del que

acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso, de conformidad con el artículo 15 del Reglamento UE 2016/679.

3. SOLICITA:

1.- Que se le facilite gratuitamente el acceso a sus ficheros en el plazo máximo de un mes a contar desde la recepción de esta solicitud, entendiendo que si transcurre este plazo sin que de forma expresa se conteste a la mencionada petición de acceso se entenderá denegada. En este caso se interpondrá la oportuna reclamación ante la Agencia Española de Protección de Datos para iniciar el procedimiento de tutela de derechos.

2.- Que si la solicitud del derecho de acceso fuese estimada, se remita por correo la información a la dirección arriba indicada en el plazo de diez días desde la resolución estimatoria de la solicitud de acceso.

3.- Que esta información comprenda de modo legible e inteligible los datos de base que sobre mi persona están incluidos en sus ficheros, y los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los datos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.

En ………………a …….de …………………….de 20 …………..

B. EJERCICIO DE LOS DERECHOS DE RECTIFICACIÓN

1. DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre………………………………………………………………………………………………………………..

Dirección de la Oficina de Acceso: C/ …………………………………………………………….n°………….

C.P. …………… Localidad:…………………………………………………………………………………………

Provincia:……………………………………………………………………………………………………………..

2. DATOS DEL SOLICITANTE

D/ Dª ………………………………………………………………..mayor de edad, con domicilio en la Calle……………………………………………………………………………………..nº………………………….

Localidad ……………………………, Provincia …………………………. C.P………………………………….

con D.N.I……………………………………………., del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificación, de conformidad con el articulo 16 del Reglamento UE 2016/679.

3. SOLICITA

1. Que se proceda gratuitamente a la efectiva corrección en el plazo de diez días desde la recepción de esta solicitud, de los datos inexactos relativos a mi persona que se encuentren en sus ficheros.

2. Los datos que hay que rectificar se enumeran en la hoja anexa, haciendo referencia a los documentos que se acompañan a esta solicitud y que acreditan, en caso de ser necesario, la veracidad de los nuevos datos.

3. Que me comuniquen de forma escrita a la dirección arriba indicada, la rectificación de los datos una vez realizada.

4. Que, en el caso de que el responsable del fichero considere que la rectificación o la cancelación no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer una reclamación.

En………………………….a ………… de………………………de 20 ……..

C. EJERCICIO DEL DERECHO DE SUPRESIÓN (EL DERECHO AL OLVIDO

1. DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre:………………………………………………………………………………………………. Dirección de la Oficina de Acceso: C/ …………………………………………… nº …… C.P. ………….. Localidad ………………………………………………………………Provincia………………………………………………

2. DATOS DEL SOLICITANTE

D./ Dª………………………………………………………., mayor de edad, con domicilio en la C/ ……………………………………………. nº………, Localidad ………………………. Provincia ………………………………….. C.P. ………….. con D.N.I. ………………, del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de supresión, de conformidad con el artículo 17 del Reglamento UE 2016/679.

3. SOLICITA

1. Que se proceda a la efectiva supresión en el plazo de diez días desde la recepción de esta solicitud, de los datos relativos a mi persona que se encuentren en sus ficheros y que se enumeran en el anexo, al no existir vinculación jurídica o disposición legal que justifique su mantenimiento, como se acredita en los documentos aportados.

2. Que me comuniquen de forma escrita a la dirección arriba indicada la cancelación de los datos una vez realizada.

3. Que, en el caso de que el responsable del fichero considere que dicha supresión no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer la reclamación prevista en el artículo 18 de la Ley Orgánica.

En ……………………a ……….. de …………………………… de 20 …………

D. EJERCICIO DEL DERECHO DE LIMITACIÓN DEL TRATAMIENTO

1. DATOS DEL RESPONSABLE DEL FICHERO

Nombre: ………………………………………………………………………………………………………………

Dirección de la Oficina de Acceso: C/ …………………………………….. nº ………………………………..

C.P…………….. Localidad …………………………………….Provincia………………………………………..

2. DATOS DEL SOLICITANTE

D./ Dª…………………………………………………………mayor de edad, con domicilio en la C/ ………………………………………………. nº ……, Localidad ………………………………………………..

Provincia ……………………………………C.P ……………. con D.N.I …………………., del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de limitación del tratamiento, de conformidad con el artículo 18 del Reglamento UE 2016/679.

3. SOLICITA

1. Que se proceda a la efectiva limitación del tratamiento en el plazo de diez días desde la recepción de esta solicitud, de cualesquiera datos relativos a mi persona que se encuentren en sus ficheros al no existir vinculación jurídica o disposición legal que justifique su mantenimiento.

2. Que me comuniquen de forma escrita a la dirección arriba indicada la limitación del tratamiento de los datos una vez realizada.

3. Que, en el caso de que el responsable del fichero considere que dicha limitación no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer una reclamación.

En ……………………….a ……….de …………………..de 20…..

E. EJERCICIO DEL DERECHO DE PORTABILIDAD DE DATOS

1. DATOS DEL RESPONSABLE DEL FICHERO

Nombre: ………………………………………………………………………………………………………………

Dirección de la Oficina de Acceso: C/ …………………………………….. nº ………………………………..

C.P…………….. Localidad …………………………………….Provincia………………………………………..

2. DATOS DEL SOLICITANTE

D./ Dª…………………………………………………………mayor de edad, con domicilio en la C/ ………………………………………………. nº ……, Localidad ………………………………………………..

Provincia ……………………………………C.P ……………. con D.N.I …………………., del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de portabilidad de datos, de conformidad con el artículo 20 del Reglamento UE 2016/679.

3. SOLICITA

1. Que se proceda al efectivo derecho de portabilidad en el plazo de diez días desde la recepción de esta solicitud, de cualesquiera datos relativos a mi persona que se encuentren en sus ficheros al no existir vinculación jurídica o disposición legal que justifique su mantenimiento.

2. Que me comuniquen de forma escrita a la dirección arriba indicada la portabilidad de los datos una vez realizada.

3. Que, en el caso de que el responsable del fichero considere que dicha portabilidad no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer una reclamación.

En ……………………….a ……….de …………………..de 20…..

F. EJERCICIO DEL DERECHO DE OPOSICIÓN

1. DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre:……………………………………………………………………………………………………………….

Dirección de la Oficina de Acceso: C/ ……………………………………………………………………………

nº…….. C.P…………. Localidad ……………………… Provincia ……………………………………………..

2. DATOS DEL SOLICITANTE:

D./ Dª ……………………………………………………………………., mayor de edad, con domicilio en la

C/ …………………………………. n° …….., Localidad ………………………………………………………..

Provincia ………………………………….. C.P. ………….con D.N.I ……………………………….., del que

acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de oposición, de conformidad con el artículo 21 del Reglamento UE 2016/679.

3. SOLICITA:

1.- Que se le facilite gratuitamente el derecho de oposición a sus ficheros en el plazo máximo de un mes a contar desde la recepción de esta solicitud, entendiendo que si transcurre este plazo sin que de forma expresa se conteste a la mencionada petición de acceso se entenderá denegada. En este caso se interpondrá la oportuna reclamación ante la Agencia Española de Protección de Datos.

2.- Que si la solicitud del derecho de oposición fuese estimada, se remita por correo la información a la dirección arriba indicada en el plazo de diez días desde la resolución estimatoria de la solicitud de oposición.

3.- Que esta información comprenda de modo legible e inteligible los datos de base que sobre mi persona están incluidos en sus ficheros, y los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los datos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.

En ………………a …….de …………………….de 20 …………..

Entre las obligaciones del personal de nuestra empresa, estará incluido el conocimiento, por parte de todos los empleados, y según el art. 83 del REPD de 27 de Abril, de las condiciones generales para la imposición de multas administrativas, y en el que se tendrán en cuenta las siguientes causas:

  1. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de daños y prejuicios que hayan sufrido.
  2. La intencionalidad o negligencia en la infracción.
  3. Cualquier medida tomada por el responsable o encargado de tratamiento para paliar los daños y perjuicios sufridos por los interesados.
  4. El grado de responsabilidad del responsable o del encargado de tratamiento, habida cuenta de las medidas técnicas u organizativas que se hayan aplicado en virtud de las artículos 25 y 32.
  5. Toda infracción anterior cometida por el responsable o encargado de tratamiento.
  6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
  7. Las categorías de los datos de carácter personal afectados por la infracción.
  8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción, y en tal caso, en qué medida.
  9. Cuando las medidas indicadas en el artículo 58, apartado, 2, hayan sido ordenadas previamente contra el responsable o encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.
  10. La adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42.
  11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Sanciones

Podrán ser multas administrativas de 10.000.000 de €, cómo máximo, o tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total, anual global del ejercicio financiero anterior.

O también podrían ser multas administrativas de 20.000.000 de €, cómo máximo, o tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total, anual global del ejercicio financiero anterior según el grado de infracción cometida.

Por ello podemos decir que el responsable del fichero será la empresa M. CASTELLÓ JOVER, S.L., y en su nombre, su gerente Ignacio Guillem Vicent.

Funciones del Responsable del Fichero

El responsable del Fichero es el encargado jurídicamente de la seguridad del mismo y de las medidas establecidas en el presente documento, implanta las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones.

Obligaciones del Responsable del Fichero

Implantar las medidas de seguridad establecidas en este documento.

El responsable del Fichero deberá garantizar la difusión de este documento entre todo el personal que vaya a utilizar.

Lo mantendrá actualizado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

Debe de adecuar el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos.

También se encarga de que los sistemas informáticos de acceso al fichero tengan su acceso restringido mediante un código de usuario y una contraseña.

Del mismo modo velará para que todos los usuarios autorizados para acceder al fichero, tengan su código de usuario con una contraseña.

Periódicamente, y sin contar con el libro de incidencias, se elaborará un informe de incidencias físicas e informáticas de la manera siguiente:

INFORME DE INCIDENCIAS JULIO /2018

a) Estado de conservación y mantenimiento de los aparatos informáticos:

El funcionamiento ha sido el habitual.

b) Listado de accesos físicos e informáticos:

Tanto la contraseña general como el uso de “passwords” ha sido el esperado sin necesidad de cambio de ninguna de ellas.

c) Estado de conservación del mobiliario y de los soportes:

No ha habido ninguna novedad al respecto.

d) Novedades o incidencias del personal:

No ha habido ningún cambio de destino así como ningún alta o baja de personal.

e) Incidencias sobre el tratamiento general de los datos:

En M. CASTELLÓ JOVER, S.L., no hemos hecho ningún cambio de criterio en cuanto a la administración de datos; al mismo tiempo no hemos tenido denuncia alguna sobre la actuación de nuestra empresa.

f) Propuestas y sugerencias:

Nuestro buzón de propuestas y sugerencias, en cuanto al tratamiento de datos no ha sufrido ninguna alteración.

5. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD

5.1 CENTROS DE TRATAMIENTOS Y LOCALES

Los locales donde se ubiquen los ordenadores que contienen los Ficheros deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos; en nuestra empresa se hará especial hincapié, ya que sus ficheros están ubicados en los servidores accedidos a través de una red.

Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. En páginas posteriores describimos los medios de seguridad que hemos adoptado en M. CASTELLÓ JOVER, S.L.

El acceso a los locales donde se encuentra el fichero estará restringido a los usuarios del sistema, administradores del sistema y en general a todo el personal autorizado.

El ámbito físico de M. CASTELLÓ JOVER, S.L., sita en Cr. de Pego Km 6,8 de la localidad de Muro de Alcoy (Alicante) consta de una entrada principal, por donde se accede a las oficinas de la empresa.

El acceso al público está totalmente restringido, no pudiendo acceder en ningún caso a la visualización de los datos plasmados en las pantallas de cada ordenador.

Asimismo, en nuestra empresa, hemos adoptado todas las medidas necesarias para que no se pueda visualizar ningún documento impreso por nuestros sistemas informáticos por personal ajeno a la empresa, archivando y almacenando cuantos datos operen en nuestro poder. Estas medidas vienen encaminadas a no dejar en ningún sitio visible toda la documentación referente a datos personales.

Del mismo modo, hemos hecho hincapié, de la no exposición de nuestros archivos históricos, a personas ajenas a nuestra empresa con lo que evitaremos una visualización de datos a dichas personas.

5.2 PUESTOS DE TRABAJO

Son todos aquellos dispositivos desde los cuales se puede acceder a los datos del Fichero, como pueden ser los terminales u ordenadores personales.

Cada puesto de trabajo estará bajo la responsabilidad de una de las personas autorizadas que describimos más adelante, y que garantizará que la información que se muestra no pueda ser vista por personas no autorizadas. Por ello, tanto las impresoras, las pantallas y todos los demás dispositivos que tenemos conectados al puesto de trabajo están físicamente ubicados en lugares que garantizan esta confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o cuando acaba la jornada de trabajo, lo dejará en un estado que impida la visualización de los datos protegidos.

En las impresoras no se dejarán documentos impresos en la bandeja de salida que contengan datos protegidos. Al haber impresoras compartidas por varios usuarios, cada uno se hará responsable del suyo; en última instancia el responsable de cada puesto se hará cargo de los documentos impresos.

En M. CASTELLÓ JOVER, S.L., queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero.

Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos, que sólo la cambiamos por orden del responsable del fichero.

En el anexo final se especifican todos los usuarios con sus respectivos puestos de trabajo de que se dispone en esta empresa.

5.3 ENTORNO DE SISTEMA OPERATIVO Y DE COMUNICACIONES

Aunque el método establecido para acceder a los datos protegidos del fichero es el sistema informático, del que hacemos referencia en páginas posteriores, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con una conexión que la comunica con otro ordenador, es posible para las personas que conozcan este entorno acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.

De la misma manera no permitimos el acceso a ninguna herramienta o programa de utilidad que permita el acceso al fichero por parte de personas no autorizadas.

También podemos añadir que la empresa posee un servidor con acceso restringido por contraseña.

A continuación se explica con mayor detalle las características y usos del servidor.

ServidorSistema OperativoUsuariosAcceso

WINDOWS9RESTRINGIDO

5.4 SISTEMA INFORMÁTICO O APLICACIONES DE ACCESO AL FICHERO.

El Sistema Informático de La M. CASTELLÓ JOVER, S.L., está compuesto por un servidor que ofrece datos e información a un total de 9 usuarios.

El acceso al fichero está totalmente controlado por el responsable del fichero para evitar de esta forma el acceso al mismo de usuarios no permitidos.

5.5 SALVAGUARDA Y PROTECCIÓN DE LAS CONTRASEÑAS PERSONALES

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas son estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad es inmediatamente comunicada al responsable del Fichero o al encargado de seguridad para que se subsane en el menor plazo de tiempo posible.

El usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, lo registramos como incidencia y procedemos inmediatamente a su cambio. Las contraseñas son cambiadas periódicamente; al mismo tiempo tenemos protegido el archivo donde se almacenan las contraseñas.

El procedimiento de asignación y cambio de contraseñas, se realiza en nuestra empresa mediante un sistema automatizado de gestión de contraseñas.

En términos generales los usuarios de la entidad actualizan sus contraseñas quincenalmente.

A continuación se explican más detalladamente los procedimientos de gestión de estas contraseñas.

Procedimiento de Gestión de Contraseñas en Servidores.

Este procedimiento se aplica al servidor que posee la empresa.

Las personas usuarias de la empresa acceden al sistema informático, por lo que pueden actualizar las contraseñas cada 30 días.

La asignación de contraseñas para un nuevo usuario también se realiza automáticamente en él ordenador una vez el usuario trata de acceder por primera vez a ellos.

M. CASTELLÓ JOVER, S.L., a través de su responsable del fichero, aconseja a todos los usuarios posibles que sus contraseñas cumplan unas determinadas características de seguridad. Estas son:

 Longitud mínima de 8 caracteres.

 Incursión de algún número en ella.

 No deben tener relación con ningún dato conocido de la persona: fechas, nombre, apodos, animales domésticos, etc.

6. GESTIÓN DE INCIDENCIAS

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.

En M. CASTELLÓ JOVER, S.L., mantenemos un registro de incidencias imprescindible para la prevención de posibles ataques a nuestra seguridad en datos personales, al mismo tiempo hacemos más fácil el seguimiento de los responsables del mismo. Para ello tenemos a disposición de los usuarios del Fichero un “Libro de Incidencias” con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

Cualquiera de los usuarios que tenga conocimiento de una incidencia será el responsable del registro de la misma en el “Libro de incidencias” del Fichero, o en su caso de la comunicación por escrito al responsable del Fichero.

El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

En la notificación o registro de una incidencia hacemos constar al menos la fecha y hora en que se produjo, el tipo de incidencia, la persona que realiza la notificación, la persona a quién se comunica, efectos que puede producir y la descripción detallada de la misma.

Una vez notificada y registrada la incidencia, el responsable del fichero, decidirá la solución inmediata para resolver la incidencia detectada y planificar su puesta en marcha, fijando responsables para cada acción y una fecha tope de realización. El responsable del fichero dará la aprobación a estas soluciones inmediatas.

Las acciones correctoras son aquellas acciones o soluciones llevadas a cabo tras el análisis de la información obtenida sobre incidencias detectadas, que posibiliten la reducción o eliminación de las causas de los problemas identificados y de las consecuencias que de ellos se derivan, al objeto de que dichos problemas e incidencias no se repitan en el futuro.

El responsable del fichero, junto con las personas que consideren necesario en cada incidencia, llevará a cabo el estudio de la necesidad de establecer acciones correctoras que eliminen dichas causas, y consecuentemente la aparición de nuevo de las incidencias.

En caso de considerarse necesario su establecimiento, el responsable del fichero junto con las personas implicadas en el estudio de la incidencia, establecerán la planificación de las acciones correctoras a llevar a cabo en el “informe de incidencias”, de igual modo que se indica para las soluciones inmediatas. El responsable del fichero deberá firmar la planificación y acciones propuestas.

Finalmente, una vez llevadas a cabo las soluciones inmediatas propuestas y las acciones correctoras y de seguimiento, en el caso que existan, el responsable del fichero será informado de todas las incidencias, y dejará constancia de su conocimiento mediante firma y fecha de los informes de incidencias.

Según el artículo 33.1 del REPD de 27 de Abril de 2016, en caso de violación de seguridad de los datos personales, el responsable del tratamiento notificará a la autoridad de control competente, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que se haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

La notificación deberá contemplar al menos:

-) Describir la naturaleza de la violación de seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de registros de datos personales afectados.

-) comunicar el nombre y los datos del delegado de protección de datos ( si lo hubiere).

-) describir las posibles consecuencias de la violación de la seguridad de los datos personales.

-) describir las posibles consecuencias de la violación de la seguridad de los datos personales;

-) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

7. GESTIÓN DE SOPORTES

Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de aplicación que gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan son discos duros que se pueden copiar y reproducir, es de vital importancia que para la seguridad de los datos del Fichero tiene el control de esos medios.

En M. CASTELLÓ JOVER, S.L., todos los soportes que contienen datos del Fichero como consecuencia de operaciones intermedias propias de la aplicación que los trata, de procesos periódicos de respaldo, etc… están identificados con una etiqueta externa que indica el Fichero de que se trata, los datos que contiene, fecha de creación, y el proceso que los ha originado.

Cuando los medios se pueden volver a utilizar, se borran los datos que contienen antes de su reutilización para que estos no sean recuperables.

El responsable del fichero mantendrá un libro de registro de entradas y salidas de soportes indicando el tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, cómo se envía, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas.

En caso de existir un almacenamiento de soportes fuera de nuestra empresa por causa de mantenimiento, traslado u otros hechos, se tienen previstas acciones de protección de dichos soportes.

Cuando se tengan que distribuir soportes que contengan datos de carácter personal, se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Los soportes que contengan datos del Fichero son almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso del Fichero.

La salida de soportes informáticos que contengan datos del Fichero fuera de los locales de nuestra empresa, será autorizada por el responsable del Fichero.

Los datos almacenados en la base de datos de soportes son los siguientes:

Inventario de soportes

• Altas: Número de alta y Fecha de alta.

• Bajas: Reutilización, Destrucción, Método empleado y la Fecha.

Entrada de soportes

• Fecha y hora de entrada de soporte.

• Soporte: Tipo de soporte y nº, Contenido y Fecha de Creación.

• Origen y Finalidad.

• Forma de Envío: Medio de envío, Remitente y Precauciones para el transporte.

• Autorización: Persona responsable de la recepción, Cargo/Puesto, Observaciones y Firma.

Salida de soportes

• Soporte: Tipo de soporte y nº, Contenido, Ficheros de donde proceden los datos y Fecha de Creación.

• Finalidad y Destino.

• Forma de Envío: Medio de envío, Remitente y Precauciones para el transporte.

•Autorización: Persona responsable de la entrega, Persona que autoriza, Cargo/Puesto, Observaciones y Firma.

Es notorio significar que la empresa actualmente y con las nuevas tecnologías, Internet, no posee soportes informáticos. Si se realizara algún soporte informático seguiríamos con las normas establecidas al respecto.

8. ENTRADA Y SALIDA DE DATOS POR RED Y TELECOMUNICACIONES

M. CASTELLÓ JOVER, S.L., actualmente concentra el intercambio de datos por red y telecomunicaciones en dos procesos:

1. Correo electrónico.

2. Internet.

La transmisión de todos los datos enviados desde la Entidad debe estar autorizada por el encargado del Fichero.

9. PROCEDIMIENTOS DE RESPALDO Y RECUPERACIÓN

La seguridad de los datos personales del Fichero, no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero.

Las copias de seguridad se realizan diariamente comprimidas en formato .rar ( software cobian backup), se realizan en disco duro Se poseen mecanismos, fáciles de usar, de recuperación de datos de las copias de seguridad. Los usuarios del sistema dominan estas aplicaciones de restauración de datos.

Para la ejecución de los procedimientos de recuperación de los datos, es necesaria la autorización por escrito del responsable del fichero, y se deja constancia en el registro de incidencias de las manipulaciones que se han realizado para estas recuperaciones. (Incluimos la persona que realizó el proceso, los datos restaurados y los datos que se han grabado manualmente en el proceso de recuperación.)

10. CONTROLES PERIÓDICOS DE VERIFICACIÓN DEL CUMPLIMIENTO

Todos los datos reflejados en este documento, así como todas las normas que contiene, deben ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías.

El responsable del fichero comprobará, al menos cada trimestre, la lista de usuarios, para verificar que es correcta y a su vez comprobar las altas y bajas que hayan podido suceder.

Cada trimestre también se comprobará la existencia de copias de respaldo que permitan la recuperación del Fichero.

El responsable del fichero analizará con periodicidad, al menos trimestral, las incidencias registradas en el libro correspondiente, para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.

Al mismo tiempo, se dispone de una empresa especializada, que periódicamente somete a control a nuestra empresa para el adecuado cumplimiento de la ley, controlando y verificando toda la gestión de la empresa en cuanto a materia de protección de datos personales informatizados.

11. CONFIDENCIALIDAD DE LA INFORMACIÓN.

Toda la información albergada en nuestra empresa de forma estática o circulando en forma de mensajes de correo electrónico, es propiedad de la empresa y tiene el carácter de confidencial.

Tendrán el carácter de información especialmente reservada los secretos industriales o comerciales de la empresa, en los que se incluyen, sin carácter limitativo, los procedimientos, metodologías, código fuente, algoritmos, bases de datos de clientes, planes de marketing, y cualquier otro material que forma parte de la estrategia industrial o comercial de la empresa.

El usuario está obligado a utilizar la red corporativa y la intranet de nuestra empresa y sus datos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales.

Queda prohibido enviar información confidencial de M. CASTELLÓ JOVER, S.L.al exterior, mediante soportes materiales, o a través de cualquier medio de comunicación, incluyendo la simple visualización o acceso.

Los usuarios de los sistemas de información corporativos deberán guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con la empresa, tanto en soporte material como electrónico. Esta obligación continuará vigente tras la extinción del contrato laboral.

Ningún colaborador deberá poseer, para usos no propios de su responsabilidad, ningún material o información propiedad de M. CASTELLÓ JOVER, S.L., tanto ahora como en el futuro.

En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier otro tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le irrogue derecho alguno de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver dichos materiales a la empresa, inmediatamente después de la realización de las tareas que han originado el uso temporal de los mismos, y en cualquier caso, a la finalización de la relación laboral. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de la empresa, no supondrá, en ningún caso, una modificación de esta cláusula.

El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho a la empresa a exigir al usuario una indemnización económica.

Uso del correo electrónico.

El sistema informático, la red corporativa y los terminales utilizados par cada usuario son propiedad de M. CASTELLÓ JOVER, S.L.

Queda prohibido intentar leer, copiar, borrar, o modificar los mensajes de correo electrónico o archivo de otros usuarios, pudiendo constituir un delito de interceptación de telecomunicaciones, previsto en el artículo 197 del Código Penal.

Queda prohibido enviar o reenviar mensajes en cadena o de tipo piramidal.

Ningún mensaje de correo electrónico será considerado como privado. Se considerará correo electrónico tanto el interno, entre terminales de la red corporativa, como el externo, dirigido o proveniente de otras redes públicas o privadas, y, especialmente, Internet. Todos estos mensajes irán abiertos.

M. CASTELLÓ JOVER, S.L., se reserva el derecho de revisar, sin previo aviso, los archivos del servidor, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la empresa como responsable civil subsidiario.

Cualquier fichero introducido en la red corporativa o en el Terminal del usuario a través de mensajes de correo electrónico que provengan de redes externas, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial.

Internet.

El uso del sistema informático de M. CASTELLÓ JOVER, S.L.., para acceder a redes públicas como Internet, se limitará a los temas directamente relacionados con la actividad de la empresa y los cometidos del puesto de trabajo del usuario.

El acceso a debates a tiempo real (Chat/ IRC) es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que su uso queda estrictamente prohibido.

El acceso a páginas web, grupos de noticias, y otras fuentes de información, se limita a aquellos que contengan información relacionada con la actividad de la empresa o con los cometidos del puesto de trabajo del usuario.

La empresa se reserva el derecho de monitorizar y comprobar, de forma aleatoria y sin previo aviso, cualquier sesión de acceso a Internet iniciada por un usuario de la red de la empresa.

Cualquier fichero introducido en la red de la empresa o en el Terminal del usuario desde Internet, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus.

Usos generales.

Para todo el personal de la empresa queda prohibido:

-) Crear ficheros de datos personales sin autorización del responsable del fichero.

-) Cruzar información relativa a datos de diferentes ficheros o servicios con el fin de establecer perfiles de personalidad, hábitos de consumo o cualquier otro tipo de preferencias, sin la autorización expresa del responsable del fichero.

-) Cualquier otra actividad expresamente prohibida en este documento o en las normas sobre protección de datos e instrucciones de la Agencia Española de Protección de Datos.

-) Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o documentos electrónicos de la empresa o de terceros, ya que pueden constituir un delito previsto en el artículo 264.2 del Código Penal.

-) Introducir, descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por la empresa, o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello.

-) Borrar cualquiera de los programas instalados legalmente.

-) Utilizar los recursos telemáticos de la empresa, incluida la red por Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario, así como introducir contenidos obscenos, inmorales, ofensivos y en general, carentes de utilidad para los objetivos empresariales.

12. DELEGADO DE PROTECCIÓN DE DATOS

Nuestra empresa siguiendo el Reglamento UE (2016/679) y más concretamente el art. 37 “Designación del delegado de protección de datos” en el que se indica que:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto tribunales que actúen en ejercicio de su función judicial.
  2. Las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el art. 10.

y no teniendo ningún tratamiento de datos referido a los anteriores puntos del Reglamento Europeo, no se designa ningún Delegado de Protección de Datos.

13. EVALUACIÓN DE IMPACTO / ANALISIS DE RIESGO

Nuestra empresa siguiendo el art. 35 del Reglamento UE 2016/679 en que se nos expone que:

La evaluación de impacto relativa a la protección de datos se realizará cuando:

-) Sea probable que un tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación de impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

La evaluación de impacto relativa a la protección de datos a que refiere el apartado anterior se requerirá en caso de:

  1. Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles y sobre suya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  2. Tratamiento a gran escala de las categorías especiales de datos a que se refiere el art.9 apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el art. 10.
  3. Observación sistemática a gran escala de una zona de acceso público.

Encontramos que no estamos englobados en ningún apartado que sea susceptible de realizar dicha evaluación de impacto.